كلمات المرور الخاصة بالتطبيق تضعف مصادقة Google الثنائية ، يقول الباحثون

الباحثون من موفر المصادقة الثنائية اكتشف Duo Security ثغرة في نظام مصادقة Google سمحت لهم بتجاوز التحقق من تسجيل الدخول بخطوتين للشركة من خلال إساءة استخدام كلمات المرور الفريدة المستخدمة في توصيل التطبيقات الفردية بحسابات Google.

وفقًا لباحثين من Duo Security ، عمدت Google إلى إصلاح الخطأ في 21 شباط ، ولكن الحادثة تسلط الضوء على حقيقة أن كلمات المرور الخاصة بالتطبيق من Google لا توفر التحكم في بيانات الحساب.

عند التمكين ، يتطلب نظام التحقق من خطوتين من Google إدخال رموز فريدة بالإضافة n إلى كلمة المرور العادية للحساب من أجل تسجيل الدخول. تم تصميم هذا لمنع خطف الحسابات حتى في حالة اختراق كلمة المرور. يمكن استلام الرموز الفريدة إما على رقم هاتف مرتبط بالحساب أو يمكن إنشاؤه باستخدام تطبيق هاتف ذكي.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

ومع ذلك ، التحقق من خطوتين فقط يعمل عند تسجيل الدخول عبر موقع Google. من أجل استيعاب عملاء البريد الإلكتروني لسطح المكتب وبرامج المحادثة وتطبيقات التقويم وما إلى ذلك ، قدمت Google مفهوم كلمات المرور الخاصة بالتطبيقات (ASP). وهي كلمات مرور يتم إنشاؤها عشوائيًا تسمح للتطبيقات بالوصول إلى الحساب دون الحاجة إلى عامل مصادقة ثانٍ. يمكن إبطال ASP في أي وقت دون تغيير كلمة المرور الرئيسية للحساب.

المشكلة هي ، "ASPs هي من حيث التطبيق ، وليس في الواقع تطبيقات محددة على الإطلاق!" وقال الباحثون في Duo Security يوم الاثنين في بلوق وظيفة. "إذا قمت بإنشاء ASP لاستخدامه في (على سبيل المثال) عميل دردشة XMPP ، فيمكن استخدام نفس ASP أيضًا لقراءة البريد الإلكتروني الخاص بك عبر IMAP ، أو الاستيلاء على أحداث التقويم الخاصة بك باستخدام CalDAV."

وجد الباحثون خللاً في آلية تسجيل الدخول التلقائي التي تم تنفيذها في Chrome في أحدث إصدارات Android والتي سمحت لهم باستخدام ASP للحصول على إمكانية الوصول إلى إعدادات التحقق من الاسترداد بخطوتين في حساب Google.

في جوهرها ، كان من الممكن أن يسمح الخلل للمهاجم الذي سرق أحد حسابات ASP لحساب Google لتغيير رقم الهاتف الجوّال وعنوان البريد الإلكتروني المخصص للطوارئ المقترن بهذا الحساب أو حتى تعطيل التحقق من خطوتين تمامًا.

"لم يتم الحصول على أي شيء سوى اسم المستخدم ، و ASP ، وطلب واحد إلى //android.clients.google.com/auth ، يمكننا تسجيل الدخول إلى أي موقع ويب على Google دون أي مطالبة تسجيل دخول (أو التحقق بخطوتين)! " وقال الباحثون Duo الأمن. "لم يعد هذا هو الحال في 21 فبراير ، عندما دفع مهندسو شركة Google الإصلاح لإغلاق هذه الثغرة."

بالإضافة إلى إصلاح المشكلة ، يبدو أن Google غيّرت أيضًا الرسالة المعروضة بعد إنشاء كلمة مرور خاصة بالتطبيق لتحذير المستخدمين من أن "كلمة المرور هذه تمنح وصولاً كاملاً إلى حساب Google الخاص بك."

"نعتقد أنه ثقب كبير في نظام مصادقة قوي إذا كان المستخدم لا يزال لديه شكل من أشكال" كلمة المرور "يكفي لتولي كامل السيطرة على حسابه "، وقال الباحثون Duo الأمن. "ومع ذلك ، ما زلنا واثقين من أنه - حتى قبل طرح عملية التحقق المكونة من خطوتين التي تدعم عملية الإصلاح في Google - كانت أفضل بشكل لا لبس فيه من عدم القيام بذلك."

ومع ذلك ، يود الباحثون رؤية Google لتطبيق نوع من الآلية تشبه رموز OAuth المميزة التي تسمح بتقييد امتيازات كل كلمة مرور خاصة بكل تطبيق.

لم تستجب Google على الفور لطلب التعليق على هذا الخطأ أو الخطط المحتملة لتنفيذ المزيد من التحكم الدقيق لكلمات المرور الخاصة بالتطبيقات في المستقبل.